Cartographie des risques informatiques

Transcription

Cartographie des risques informatiques :
exemples, méthodes et outils
8 avril 2010
Gina Gullà-Ménez,
Directeur de l’Audit des Processus et des Projets SI,
Sanofi-Aventis
Vincent Manière
Consultant
Construction d’une cartographie des risques :
quel modèle proposer ?
Agenda
•
•
•
•
•
Introduction - Présentation du groupe de travail
Eléments génériques sur les risques
Retours d’expérience
Enseignements
Conclusions
8 avril 2010
Introduction
• Dans le cadre des activités de l’AFAI :
– Publier les bonnes pratiques professionnelles
• catalogue d’une douzaine d’ouvrages, issus du partage
d’expérience au sein de groupes de travail constitués de
professionnels expérimentés
– Faciliter l’échange et l’élaboration collective
• des échanges professionnels approfondis
• des groupes de travail constitués à l’initiative des membres
– Définir un objectif (un livrable sous 18 mois maximum) : ouvrage,
article, enquête…
– Obtenir l’accord du CA
– … et engager les travaux
8 avril 2010
OBJECTIFS DU GROUPE DE TRAVAIL
« Cartographie des risques informatiques »
• Etudier les avantages à élaborer une cartographie des
risques informatiques.
• Mettre en évidence les différentes approches pratiques, en
fonction des objectifs poursuivis et du point de vue de
l’utilisateur de la cartographie (Management, Audit interne,
Direction de projet, …)
8 avril 2010
ORGANISATION/PARTICIPANTS
• Le groupe de travail était composé de membres permanents issus
des grandes entreprises, des cabinets d’audits, de consultants,
exerçant des métiers différents :
–
–
–
–
–
Responsable d’audit
Risk manager
Responsable sécurité informatique
Responsable méthode
…
• Il a bénéficié de la présence d’invités, qui ont apporté un angle de
vue particulier ou un témoignage de leur expérience.
8 avril 2010
DÉROULÉ/MODE DE FONCTIONNEMENT
• Témoignages anonymes ayant pour objectif
– Restituer de façon standardisée les présentations-témoignages pour faciliter la
perception par le lecteur ;
– Fournir un cadre structuré pour les participants appelés à témoigner.
• Structure de la fiche Témoignage:
•
•
•
•
•
•
Objectif de la cartographie
Résultats obtenus
Acteurs
Démarche
Avantages
Inconvénients et difficultés
• Faire ressortir des enseignements et des facteurs clés de succès
pour réussir une démarche cartographie.
8 avril 2010
Quel modèle proposer ?
Agenda
•
•
•
•
•
Enseignements
Conclusions
8 avril 2010
Des définitions multiples
•
De nombreuses définitions existent qui combinent :
–
–
–
–
•
Probabilité
Impact
Vulnérabilité
Menace
Origine Bernoulli
– "Le risque est l'espérance mathématique d'une fonction de probabilité d'événements". En
termes plus simples, il s'agit de la valeur moyenne des conséquences d'événements affectés
de leur probabilité d'occurrence. Ainsi, un événement e1 a une probabilité d'occurrence p1
avec une conséquence probable C1 ; de même un événement en aura une probabilité pn et
une conséquence Cn, alors le risque vaudra R = p1.C1 + p2.C2 + ... + pn.Cn. Un produit
pi.Ci est appelé valeur de l'aléa i.
•
Origine IFACI
– Risque : possibilité que se produise un événement qui aura un impact sur la réalisation des
objectifs. Le risque se mesure en termes de conséquences et de probabilité.
– Cartographie des risques : positionnement des risques majeurs se lon différents axes tels que
l’impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques.
Son objectif est de permettre d’orienter le plan d’audit interne et d’aider le management à
prendre en compte la dimension risque dans son pilotage interne.
8 avril 2010
• Deux tendances principales se dégagent de « l’histoire du risque » :
– Approche mathématique
•
•
•
•
Blaise Pascal et Pierre de Fermat en 1654
Loi des grands nombres
Bernoulli en 1738
Théorie des Jeux en 1944
– Approche « management par les risques »
• Apparue en fin des années 1950 aux Etats-Unis
• Gouvernement d’entreprise et obligation de contrôle des risques
• COSO II
8 avril 2010
Tendance COSO II
•
Le «cube COSO» visualise la gestion du risque en trois dimensions : du point de
vue des objectifs de l’entreprise tel le contrôle interne, les composantes de la
gestion du risque à l’échelle de l’entreprise et l’organisation de l’entreprise.
8 avril 2010
Tendance ISO 2700x
8 avril 2010
Le risque informatique est-il spécifique ?
• Dans Risk IT (ISACA) :
– Le risque informatique peut être désigné comme le risque
« métier » associé à l’utilisation, la possession, l’exploitation,
l’implication, l’influence et l’adoption de l’informatique dans une
organisation.
• Exemples et Lien risques métiers
– Interruption des activités d’une entreprise en raison d’une
indisponibilité du SI :
•
•
•
•
panne d’un composant du réseau (par exemple un routeur)
incendie de la salle machine
intrusion d’un pirate et destruction des bases de données
plan de secours n’ayant pas suivi les évolutions récentes des
systèmes
8 avril 2010
• Exemples et Lien risques métiers
– Fraude sur les systèmes de paiement :
• accès inapproprié aux données : possibilité d’intervention directe sur
les fichiers d’interface, sans supervision
• absence de contrôles au sein des processus achats : « 3-way match
principle »
• anomalies de séparation des tâches au sein de la communauté
d’utilisateurs : le demandeur n’est pas l’acheteur
• pas d’outil de détection d’anomalies en place sur les données :
modification des données fournisseurs
• capacité des équipes informatiques à intervenir sur le code source
des applications et à mettre en production sans point de contrôle
8 avril 2010
quel modèle proposer ?
Agenda
•
•
•
•
•
Enseignements
Conclusions
8 avril 2010
• Structure des retours d’expérience selon la fiche
témoignage :
– Contexte de la cartographie
– Objectif de la cartographie
– Acteurs concernés
– Démarches
– Représentations
8 avril 2010
- Contexte de la cartographie
• Une réponse à la montée des exigences règlementaires
concernant les risques
• Démarche de sécurisation des actifs SI
• Volonté de la Direction Générale
• Structuration des démarches de gestion des risques et de
contrôle interne
• Management opérationnel par les risques
8 avril 2010
Cartographie des risques – Etat de l’art
4 types de cartographies identifiés
• cartographie des risques Groupe
– pour décision et action de gestion du responsable du risque
– pour suivre la maîtrise des principaux risques de l’entreprise
• cartographie des risques pour construction du plan d’audit
– pour identifier l’exposition au risque et définir le plan d’audit
• cartographie des risques Sécurité de l’information
– pour protéger au plus efficient les actifs du SI au regard des menaces qu’ils
encourent
• cartographie des risques propres à la Fonction SI
– pour piloter les processus, la fonction SI, et la réussite des projets
8 avril 2010
- Acteurs concernés
Ce sont toujours les mêmes, mais plus ou moins impliqués selon les
contextes :
• La fonction SI
• La filière Sécurité
• L’Audit Interne
• Les Métiers
• La Gestion des Risques
• Le Contrôle interne
• La Direction Générale
8 avril 2010
- Démarche (1/3)
• Les démarches sont souvent structurées et formalisées,
• Plusieurs démarches peuvent co-exister au sein d’une
organisation, mais elles restent généralement
indépendantes,
• Différents impacts liés aux risques SI sont traités :
opérationnels, financiers, réglementaires,
• Des approches Top-Down (pour la DG, pour le
réglementaire) ou Bottom-Up (pour la sécurité, le pilotage
SI),
8 avril 2010
- Démarche (2/3)
• Des « inputs » de plus en plus nombreux
– Menaces, incidents, résultats d’audits internes et externes, dires d’experts,
statistiques
• L’évaluation de l’impact financier est rare,
• Les risques bruts (ou inhérents) et les risques nets (ou résiduels)
sont généralement pris en compte,
• Méthodes et référentiels : on retrouve les standards du contrôle
interne SI et de la sécurité
– Cobit, COSO, ISO 27xxx, …
• Mais également des méthodes internes,
8 avril 2010
- Démarche (3/3)
• Un outillage divers, plus ou moins sophistiqué
– Questionnaires, tableurs, listes de risques, progiciel de gestion des risques
• La charge de travail initiale dépend du périmètre de l’analyse, mais
elle est généralement conséquente
– par exemple, 20-25 jours par branche pour une cartographie Direction
Générale
• La fréquence de mise à jour est souvent annuelle pour les
cartographies Groupe et Audit interne et peut-être trimestrielle pour
les cartographies opérationnelles
8 avril 2010
- différentes représentations (1/4)
•
Par exemple :
Schéma générique
Probabilité
Probabilité
d’occurrence
de la menace
Schéma Contrôle Interne
réduction de
l’ impact
Risques forts
Risques moyens
réduction de la
probabilit é de la
probabilité
menace
Risques faibles
Mesure de
l’impact
8 avril 2010
- différentes représentations (2/4)
• Cartographie des risques SI
Probabilité
d'occurrence
Fréquente
Gestion non maîtrisée des licences
informatiques
1
Allocation des ressources non optimisée 2
concernant des projets informatiques
5
3
2
7
4
Accès non autorisé à des données
3
confidentielles concernant les salariés
Occasionnelle
Mauvaise gestion des habilitations suite
aux mouvements de personnel
4
Risque d'erreurs li ées à une mauvaise
utilisation et connaissance du système
d'information
5
Risque lié à l'appauvrissement et la perte
de connaissance des outils informatiques 6
Risque d’accès à l’information stratégique
par des personnes internes/externes au 8
service et à la société
Erreurs générées par les outils
informatiques supportant la maintenance 9
des équipements
Rare
Obsolescence de vieilles applications
Faible
Risque d'accès illicite au système /
piratage de fichiers commerciaux
9
Perte de continuité de services
informatiques
8
11
Impact
potentiel sur
les objectifs
10
Moyen
7
Fort
8 avril 2010
- Différentes représentations (3/4)
• Représentation en rosace
8 avril 2010
- Différentes représentations (3/4)
Actifs
Ma
tér
iel
tra
Ma
ns
po
tér
rta
iel
ble
f
ixe
Su
pp
ort
de
Su
sto
pp
cka
ort
ge
sd
dy
es
na
toc
Lo
mi
g
kag
d'a
qu
icie
e
es
dm
l de
t
inis
a
t
s
i
q
e
tra
ue
r
Ap
v
i
tio
plic
n o ce, de
atio
us
nm
Arc
yst main
èm ten
hit
étie
ect
e d anc
r
ure
'ex
e
L'o
plo ,
se
rga
t ap
itat
nis
ion
p
me
lica
Ac
SI
tio
tivi
ns
tés
rés
mé
So
eau
tier
us
x
-tra
s
i
tan
Pe
t/F
rso
ou
nn
rni
es
sse
Ce
urs
rtif
ica
/Ind
tio
us
Pé
n, I
trie
rim
ma
ls
ètr
g
e
ep
d
Se
e
hy
m
rvi
siq
arq
ce
ue
ue
et m
de
Do
o
la D
yen
nn
ées
si
se
né
/ In
ne
for
rgi
ma
ee
tio
tu
ns
tilit
air
es
• Quantification
Menaces
Perte ou altération des preuves empêchant
toute investigation
Désaccord, sanction des autorités de tutelle ou
sanction pénale
6
25
Perte de certification
16
Intrusion de personne
16
Menaces physiques (Incendies, inondations,
tremblements de terre…)
13
Défaillance des prestations de tiers
18
Interruption des activités métiers
11
Accès non autiorisé
72
Abus de droits
15
Reniement d'actions
12
31
6
16 20
29
41 44 16 30
1
30 31 37
0 151
0
0
1
0
1
0
0
0
0
0
0
3
0
0
1
0
0
0
0
0
0
1
4
1
1
5
6
0
0
7
0
0
0
0
0
1
0
4
4
0
0
6
0
0
1
1
0
0
1
0
0
0
0
0
0
2
0
10
0
2
1
1
0
1
0
0
0
0
0
0
1
0
8
0
1
0
1
1
0
0
4
1
3
4
0
0
1
0
0
3
0
0
0
0
0
3
0
0
6
0
0
0
0
0
2
3
1
2
2
6
12
6
0
7
0
3
1
11
0
18
0
0
0
0
1
3
0
2
2
0
1
2
0
0
4
0
0
1
0
2
2
0
0
0
0
2
2
0
0
3
8 avril 2010
Agenda
•
•
•
•
•
Enseignements
Conclusions
8 avril 2010
ENSEIGNEMENTS (1/2)
• Difficulté de compréhension par les métiers de
certains critères de l’information, notamment
Efficacité et Fiabilité
• Pas d’évaluation scientifique
• Subjectivité dans l’identification et l’évaluation des
risques
• Hétérogénéité et granularité des risques
8 avril 2010
ENSEIGNEMENTS (2/2)
•
•
•
•
•
Consolidation difficile
Niveaux de maturité ou de sensibilité différents
Périmètre de la démarche
Mobilisation des ressources
Vocabulaire : pas de définition unique d’une entreprise à une autre et au sein d’une
même entreprise : Menace, risque de sécurité, risque métier, risque opérationnel …
• Constat général :
Il n’y a pas de cartographie unique et il apparaît que cela
n’aurait pas forcément de sens.
8 avril 2010
Agenda
•
•
•
•
•
Enseignements
Conclusions
8 avril 2010
Conclusions (1/2)
« Concilier diversité et cohérence d’ensemble »
•
Effectuer un travail amont de clarification du vocabulaire et des
notions retenus
•
Conserver les initiatives locales répondant à des besoins
spécifiques de management opérationnel : sécurité, audit interne,
contrôle interne, DSI, Métiers
•
Mais, mettre en place un pilotage global de la gestion des risques
informatiques
– vision globale des initiatives, maintien de la cohérence et pertinence,
optimisation des moyens, maîtrise de la communication et du
reporting en matière de risque
8 avril 2010
Conclusions (2/2)
« Concilier diversité et cohérence d’ensemble »
• Etablir un référentiel des risques informatiques
• Choisir un outil afin de faciliter le partage et la consolidation
des risques
• Avoir une vision intégrée des démarches connexes propres
à l’informatique : Qualité, ITIL, Gouvernance, Sécurité, …
• Etablir la contribution de la gestion des risques
informatiques à la gestion globale des risques de
l’entreprise
8 avril 2010
Annexe. Actualité des associations
professionnelles
•
AMRAE : Association pour le management des risques et des assurances de l’entreprise
–
•
Groupe de travail « Cartographie des risques » - ouvrage publié en 2007
AFAI : Association Française de l’Audit Informatique
–
« Baromètre » - enquête qui établit un état des lieux de la gestion des risques informatiques dans les
entreprises, leurs perceptions et les actions entreprises pour les maitriser
–
Groupe de travail « Cartographie des risques »
•
•
Témoignages et publication d’un ouvrage méthodologique courant 2008
IFACI
–
Enquête
–
Cahier de recherche « Cartographie des risques » publié en 2003
8 avril 2010
Backup
8 avril 2010
DÉROULÉ/MODE DE FONCTIONNEMENT
•
Guide de constitution de l’ouvrage :
– Introduction : lancer le sujet et notamment le positionner par rapport à la cartographie globale des
risques d’une organisation
– Pourquoi la cartographie
– Justification
– Définition
– Méthode
– Quels acteurs ?
– Comment réaliser la cartographie ?
– Quelle démarche ?
– Quels outils mettre en œuvre ?
– Mise à jour et périodicité
– Témoignages
– Fiche selon format ci-après
– Glossaire
– Bibliographie
8 avril 2010
• Existe-t-il / Faut-il des catégories de risques informatiques
– Recours à des catégories facilite le travail sur les risques
• guide pour le recensement
• communication sur les risques informatiques dans un cadre partag é
– exemple : catégorisation du modèle Risk IT de l’ISACA
• les risques portant sur la fourniture du service, liés à la disponibilité
et la performance des systèmes au quotidien ;
• les risques portant sur la livraison des nouvelles solutions aux
utilisateurs, et notamment les projets ;
• les risques portant sur les opportunités (et notamment les
opportunités ratées) de rendre plus efficaces les processus métiers
en s’appuyant sur les évolutions de la technologie.
8 avril 2010
Conclusion
• Élaborer une cartographie des risques informatiques est
possible et les bénéfices sont réels.
• Toutefois, quand des risques ont été exprimés et partagés
au sein d’une organisation, on ne peut plus ne rien faire.
• L’enjeu réel porte donc plus sur l’utilisation de la
cartographie que sur la cartographie elle-même.
• Les risques sont dynamiques (surtout sur un sujet
technologique) et la vision que l’on en a doit l’être aussi.
• C’est donc tout un processus de gestion des risques
informatiques qui doit donc être mis en œuvre.
8 avril 2010

Cartographie des risques informatiques

Transcription

Documents pareils

Fiche WOW stage Modélisation et cartographie de base de données

Cartographie : mode d`emploi

Convention INCT-OGEF - Ordre des Géomètres Experts Fonciers

Cartographie des moyens de paiement scripturaux

Communication de crise - Longue Vie et Autonomie

programme - Réseau Culture 21

Cartographie des cours d`eau du département du Nord

Vous avez changé de cartographie, et vous vous apercevez

Asconit fiches - E0034 - CAPM SCOT Montbéliard.pub

Mise à jour Cartographie Automobile 2008.